如何啟用 TLS 1.2
適用於:Configuration Manager (目前的分支)
傳輸層安全性 (TLS) ,例如安全通訊端層 (SSL) ,是一種加密通訊協定,目的是要在透過網路傳輸時保護資料的安全。 這些文章說明確保Configuration Manager安全通訊使用 TLS 1.2 通訊協定所需的步驟。 這些文章也會說明常用元件的更新需求,以及常見問題的疑難排解。
啟用 TLS 1.2
Configuration Manager依賴許多不同的元件來進行安全通訊。 用於指定連線的通訊協定取決於用戶端和伺服器端上相關元件的功能。 如果任何元件已過期或未正確設定,通訊可能會使用較舊、較不安全的通訊協定。 若要正確啟用Configuration Manager以支援所有安全通訊的 TLS 1.2,您必須為所有必要的元件啟用 TLS 1.2。 所需的元件取決於您的環境和您所使用的Configuration Manager功能。
重要事項
使用用戶端啟動此程式,特別是舊版 Windows。 在啟用 TLS 1.2 並停用Configuration Manager伺服器上的舊版通訊協定之前,請確定所有用戶端都支援 TLS 1.2。 否則,用戶端無法與伺服器通訊,而且可能會遭到孤立。
Configuration Manager用戶端、月臺伺服器和遠端月臺系統的工作
若要針對Configuration Manager相依于安全通訊的元件啟用 TLS 1.2,您必須在用戶端和月臺伺服器上執行多個工作。
為Configuration Manager用戶端啟用 TLS 1.2
- 在 Windows 8.0 上更新 Windows 和 WinHTTP,Windows Server 2012 (非 R2) 和更早版本
- 確定已在 OS 層級啟用 TLS 1.2 作為 SChannel 的通訊協定
- 更新並設定.NET Framework以支援 TLS 1.2
為Configuration Manager月臺伺服器和遠端月臺系統啟用 TLS 1.2
- 確定已在 OS 層級啟用 TLS 1.2 作為 SChannel 的通訊協定
- 更新並設定.NET Framework以支援 TLS 1.2
- 更新SQL Server和SQL Server Native Client
- 更新 Windows Server Update Services (WSUS)
功能和案例相依性
本節說明特定Configuration Manager功能和案例的相依性。 若要判斷後續步驟,請找出套用至您環境的專案。
| 功能或案例 | 更新工作 |
|---|---|
| 月臺伺服器 (中央、主要或次要) | - 更新.NET Framework - 驗證強式密碼編譯設定 |
| 月臺資料庫伺服器 | 更新SQL Server及其用戶端元件 |
| 次要月臺伺服器 | 將SQL Server及其用戶端元件更新為符合規範的 SQL Server Express |
| 月臺系統角色 | - 更新.NET Framework並驗證強式密碼編譯設定 - 在需要SQL Server角色上更新SQL Server及其用戶端元件,包括SQL Server Native Client |
| Reporting Services 點 | - 使用主控台更新月臺伺服器、SQL Server Reporting Services伺服器和任何電腦上的.NET Framework - 視需要重新開機SMS_Executive服務 |
| 軟體更新點 | 更新 WSUS |
| 雲端管理閘道 | 強制執行 TLS 1.2 |
| Configuration Manager主控台 | - 更新.NET Framework - 驗證強式密碼編譯設定 |
| Configuration Manager具有 HTTPS 月臺系統角色的用戶端 | 使用 WinHTTP 更新 Windows 以支援用戶端-伺服器通訊的 TLS 1.2 |
| 軟體中心 | - 更新.NET Framework - 驗證強式密碼編譯設定 |
| Windows 7 用戶端 | 在 任何伺服器元件上啟用 TLS 1.2 之前,請 先使用 WinHTTP 更新 Windows 以支援 TLS 1.2 進行用戶端-伺服器通訊。 如果您先在伺服器元件上啟用 TLS 1.2,您可以孤立舊版的用戶端。 |
常見問題集
為什麼要搭配使用 TLS 1.2 與 Configuration Manager?
TLS 1.2 比先前的密碼編譯通訊協定更安全,例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。 基本上,TLS 1.2 可讓跨網路傳輸資料更加安全。
Configuration Manager在何處使用 TLS 1.2 等加密通訊協定?
基本上,有五個區域Configuration Manager使用 TLS 1.2 等加密通訊協定:
- 當角色設定為使用 HTTPS 時,用戶端會與 IIS 型月臺伺服器角色通訊。 這些角色的範例包括發佈點、軟體更新點和管理點。
- 管理點、SMS 主管和 SMS 提供者與 SQL 的通訊。 Configuration Manager一律加密SQL Server通訊。
- 如果 WSUS 設定為使用 HTTPS,則月臺伺服器與 WSUS 通訊。
- 如果 SSRS 設定為使用 HTTPS,Configuration Manager主控台SQL Server Reporting Services (SSRS) 。
- 任何以網際網路為基礎的服務連線。 範例包括雲端管理閘道 (CMG) 、服務連接點同步,以及從 Microsoft Update 同步處理更新中繼資料。
哪些決定使用哪一種加密通訊協定?
HTTPS 一律會交涉加密交談中用戶端和伺服器所支援的最高通訊協定版本。 建立連線時,用戶端會傳送訊息給具有最高可用通訊協定的伺服器。 如果伺服器支援相同的版本,則會使用該版本傳送訊息。 此交涉版本是用於連線的版本。 如果伺服器不支援用戶端所呈現的版本,伺服器訊息會指定它可以使用的最高版本。 如需 TLS 交握通訊協定的詳細資訊,請參閱 使用 TLS 建立安全會話。
何者決定用戶端和伺服器可以使用的通訊協定版本?
一般而言,下列專案可以判斷使用的通訊協定版本:
- 應用程式可以指定要交涉的特定通訊協定版本。
- 最佳做法是避免在應用層級硬式編碼特定通訊協定版本,並遵循元件和 OS 通訊協定層級所定義的設定。
- Configuration Manager遵循此最佳做法。
- 對於使用 .NET Framework 撰寫的應用程式,預設通訊協定版本取決於其所編譯的架構版本。
- 根據預設,4.6.3 之前的 .NET 版本未在交涉通訊協定清單中包含 TLS 1.1 和 1.2。
- 使用 WinHTTP 進行 HTTPS 通訊的應用程式,例如Configuration Manager用戶端,取決於作業系統版本、修補程式層級,以及通訊協定版本支援的設定。
其他資源
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應